Смотреть сайты с протухшими сертификатами

Это раньше. Теперь не badidea, а thisisunsafe.

Вводить на том экране, где тебе показывают заглушку, фокус на странице. Как читы в видеоигре.

Это раньше. Теперь не badidea, а thisisunsafe.

Коммит от 10 января 2018 года сменил код на «dGhpc2lzdW5zYWZl»: https://chromium.googlesource.com/chromium/src/ /d8fc089b62cd4f8d907acff6fb3f...

Вводить на том экране, где тебе показывают заглушку, фокус на странице. Как читы в видеоигре.

Спасибо. А на планшетах?

dGhpc2lzdW5zYWZl

Я не знаю, что это. У меня thisisunsafe работает, проверял вчера.

Вообще выглядит странным, что ты зачем-то откапываешь ссылки на годичной давности коммиты, вместо того, чтобы протестировать и убедиться, что все работает.

На планшетах хз, но логика должна быть та же самая. Не вижу проблемы.

Ты не мог бы тогда его уточнить и в стартовом посте?

Обновил.

Вообще выглядит странным, что ты зачем-то откапываешь ссылки на годичной давности коммиты,

Вот самый свежий код: https://chromium.googlesource.com/chromium/src/ /master/components/security_i... Там — новая нечитаемая команда.

Коммит https://chromium.googlesource.com/chromium/src/ /d8fc089b62cd4f8d907acff6fb3f... год назад сменил 'thisisnotsafe' на 'dGhpc2lzdW5zYWZl', и больше не менялся.

вместо того, чтобы протестировать и убедиться, что все работает.

У меня сейчас доступна только машина с Убунту, где всё патчат в извращённой форме, и канал узкий качать и ставить. А Хромом я пользуюсь на работе под оффтопиком — но до завтра он недоступен — и на планшете — но там я не понял, как открыть клавиатуру.

год назад сменил 'thisisnotsafe' на 'dGhpc2lzdW5zYWZl', и больше не менялся.

Ёмоё, ну я не знаю что здесь сказать, чтобы опять не сорваться на личные выпады и выпендрёж.

Вот зачем о чем-то думать, откапывать и приводить какие-то ссылки, если можно ПОДОЖАТЬ ДО ЗАВТРА И ПРОВЕРИТЬ ЕСЛИ ТЫ НЕ ВЕРИШЬ ЧТО Я ПРОВЕРЯЛ ЭТО ВЧЕРА И ВСЕ РАБОТАЕТ ??????

Девочки, не ссорьтесь.

-  var BYPASS_SEQUENCE = 'thisisnotsafe';
+  var BYPASS_SEQUENCE = window.atob('dGhpc2lzdW5zYWZl');

window.atob

The atob() method decodes a base-64 encoded string.

сменил код на «dGhpc2lzdW5zYWZl»

Там используется window.atob. Т.е. тот же thisisunsafe, только в профиль.

Спасибо.

Не должно быть вообще возможности так делать - любые попустительства в HTTPS это возможность делать массовые MitM, а тупорылые пользователи будут просто добавлять исключение одним или двумя кликами. Считайте что нет валидного сертификата = нет сайта.

Не должно быть вообще возможности так делать - любые попустительства в HTTPS это возможность делать массовые MitM

Напомню что HTTP ещё вполне работает и есть не просит.

а тупорылые пользователи будут просто добавлять исключение одним или двумя кликами

Почему меня должны волновать проблемы тупорылых пользователей?

Считайте что нет валидного сертификата = нет сайта.

Браузерописаки так и считают, но мне до их мнения нет дела.

Напомню что HTTP ещё вполне работает и есть не просит.

На нём остались только редиректы на https://, так что нет, не работает.

Почему меня должны волновать проблемы тупорылых пользователей?

Потому что на их невозможности выстрелить себе в ногу строится безопасность интернета.

Браузерописаки так и считают, но мне до их мнения нет дела.

Это до тебя никому дела нет. Поэтому стадаешь ты, а не они.

На нём остались только редиректы на https://, так что нет, не работает.

Зависит от настроек сервера. Есть множество сайтов где до сих пор работает HTTP, и на самом деле ничего плохого в этом нет.

Потому что на их невозможности выстрелить себе в ногу строится безопасность интернета.

Ничего не имею против. Тем не менее запилить галочку в настройках, разрешающую добавление исключений, или даже опцию в about:config для тех кто понимает риски никто не мешает. А фашизм в угоду интеллектуального большинства пусть оставят при себе.

Это до тебя никому дела нет. Поэтому стадаешь ты, а не они.

Страдают все, из-за чего индустрия в целом катится в СГ.

И да, в текущей ситуации когда сертификат протухнет и HTTPS-only сайт перестанет работать — сайт с HTTP по прежнему будет открываться, поэтому всяким владельцам бложиков, где HTTPS не особо нужен, использовать HTTP выгоднее из-за отсутствия дополнительной точки отказа. Про отсутствие адекватной процедуры отзыва сертификатов и исключения скомпрометированных CA из доверенных в браузерах, длящееся чуть ли не годами, я даже говорить не хочу. Вот такое оно, это ваше шифрование ради шифрования для хомячков.

Страдают все, из-за чего индустрия в целом катится в СГ

Вот такое оно, это ваше шифрование ради шифрования для хомячков.

Понятно: абсолютное непонимание темы плюс «мне все должны». Да, страдайте. Для таких как вы «фашизм в угоду интеллектуального большинства» единственное средство.

Не должно быть вообще возможности так делать - любые попустительства в HTTPS это возможность делать массовые MitM

Использовать самоподписанные сертификаты тоже запретишь, фашик?

так их надо вручную в свой браузер добавлять, тогда будет работать

так их надо вручную в свой браузер добавлять

Не должно быть вообще возможности так делать

Понятно: абсолютное непонимание темы плюс «мне все должны».

Я прекрасно понимаю что инфраструктура CA ущербна.

Да, страдайте. Для таких как вы «фашизм в угоду интеллектуального большинства» единственное средство.

Как раз страдать будет представитель интеллектуального большинства, когда зайдёт на какой-нибудь pаypa1.com, увидит зелёную надпись SECURE и начнёт вводить свои данные. И пусть трафик к фишинговому сайту хоть десять раз шифруется — его это никак не спасёт.

добавлять исключения для невалидного сертификата и добавлять левый самоподписанный сертификат в хранилище корневых сертификатов - это разные вещи

добавлять исключения для невалидного сертификата и добавлять левый самоподписанный сертификат в хранилище корневых сертификатов - это разные вещи

Но ведь второе хуже.

Смотря где, смотря для кого, смотря зачем. Вдруг кто-то для своего локального внутрикорпоративного сайта захочет запилить HTTPS, получать для этого сертификаты от публичных CA глупо да и не дадут всё равно, если для локальных адресов и доменов

Но правда левые сертификаты ещё и для внутрикорпоративного MitM используются часто

Смотря где, смотря для кого, смотря зачем

С точки зрения сферической безопасности в вакууме.

Вдруг кто-то для своего локального внутрикорпоративного сайта захочет запилить HTTPS, получать для этого сертификаты от публичных CA глупо

О чём и речь. Получается что возможность прострелить ногу убираем, оставляя мину, разрывающую пользователя на куски.

Тем не менее запилить галочку в настройках, разрешающую добавление исключений, или даже опцию в about:config для тех кто понимает риски никто не мешает.

Исходники же есть. Запили себе и пользуйся. Можно даже без опции, в ней нет смысла, если для себя делаешь.

Я прекрасно понимаю что инфраструктура CA ущербна.

О понимании вы врёте и себе и другим.

Как раз страдать будет представитель интеллектуального большинства, когда зайдёт на какой-нибудь pаypa1.com, увидит зелёную надпись SECURE и начнёт вводить свои данные

Потому что даже не различаете защиту от фишинга и наличие HTTPS на сайте, куда уж там до понимания зачем именно это было сделано, как станет дальше и почему должно быть именно так, и как на самом деле это отражается на поведении юзеров. Ничего кроме это заученной попугайской фразы вы выдать не можете.

Давай сыграем в игру: ты скажешь какого цвета должны быть, по-твоему, надписи на http://paypal.com, http://paypa1.com, https://paypal.com и https://paypa1.com, а я тебе скажу почему ты безграмотный неуч.

Исходники же есть.

Зачем? Можно ведь XULевый аддон (хз можно ли такое сделать через новомодные WebExtensions) запилить но мне лень. Да и на все компьютеры пихать его задолбаешься, вариант с приватным окном универсальнее.

но мне лень

Ну тогда у тебя нет моральных прав рассуждать, мешает там кому что-то «запилить галочку» или нет. Ты, кому эта проблема мешает, ленишься её решить. Почему ты решил, что этим должны заниматься те, кого это не волнует?

Потому что даже не различаете защиту от фишинга и наличие HTTPS на сайте

Я прекрасно различаю, а вот хомячок, ради которого всё это делается — нет. У него есть лишь искусственно созданная ложная уверенность в своей безопасности и зелёный значок SECURE рядом с адресом фишингового сайта.

почему должно быть именно так

Не должно. Если я как пользователь соглашаюсь с тем что я понимаю все риски и подтверждаю что действительно хочу выполнить это действие — единственно вменяемым поведением софтины в данной ситуации является точное выполнение моих указаний. А то так можно и до выпиливания rm дойти, ведь с ним пользователь тоже может ногу отстрелить.

как на самом деле это отражается на поведении юзеров

Очень просто: юзер видит зелёный значок SECURE и начинает вводить свои данные. А потом страдает, да.

Ничего кроме это заученной попугайской фразы вы выдать не можете.

Попугайничаешь тут лишь ты, по кругу повторяя одно и то же „ко-ко-ко низзя!!!”, даже не пытаясь осмыслить юзкейсы, для которых „низзя” не является вменяемым решением.

Давай сыграем в игру: ты скажешь какого цвета должны быть, по-твоему, надписи на http://paypal.com, http://paypa1.com, https://paypal.com и https://paypa1.com

По дефолту должны быть чёрного цвета на белом фоне, но это, конечно, зависит от темы оформления у пользователя.

Ну тогда у тебя нет моральных прав рассуждать

Схренали? Спервадобейся?

Ты, кому эта проблема мешает, ленишься её решить

Я уже нашёл её решение. То что это решение является черезжопным — другой вопрос, но уж какое есть. Пока жру что эти наркоманы дают, дальше посмотрим.

Почему ты решил, что этим должны заниматься те, кого это не волнует?

Потому что они сломали мой веб, в котором раньше добавление временного исключения не представляло собой особой проблемы.

я тебе скажу почему ты безграмотный неуч

Ты бы лучше рассказал какого цвета должен быть значок SECURE в случае использования сертификата от очередного скомпрометированного CA, выписывающего сертификаты налево и направо, через неделю/месяц/год после того как об этом стало известно, грамотный ты наш учоный. Как пользователю зайти на сайт с протухшим пару дней назад сертификатом — это „кококо опасносте”, а как сертификаты раздавать налево и направо — это норма.

Спервадобейся?

Нет. Ты путаешь «сперва добейся» с «мне все должны».

они сломали мой веб

Ололо.

раньше добавление временного исключения не представляло собой особой проблемы

И сейчас не представляет проблемы, если продолжаешь пользоваться софтом, в котором это не представляло проблемы.

Потом софт обновился, но авторы решили сделать не так, как хотелось бы тебе. Вот, собственно, и вся проблема. Все твои причитания сводятся к тому, что кто-то там не запилил так, как лично ты хочешь.

Нет. Ты путаешь «сперва добейся» с «мне все должны».

Где? Я начал тред с вопроса „как в этих поделках наркоманов смотреть сайты?”, а не „запилите мне XXX”.

И сейчас не представляет проблемы, если продолжаешь пользоваться софтом, в котором это не представляло проблемы.

Очень смешно.

Потом софт обновился, но авторы решили сделать не так, как хотелось бы тебе. Вот, собственно, и вся проблема. Все твои причитания сводятся к тому, что кто-то там не запилил так, как лично ты хочешь.

Завтра эти авторы rm -rf твоему хомяку сделают и скажут что так и надо, а ты будешь рассказывать что всё ок, кто несогласен — ССЗБ.

Где?

Там, где написал «спервадобейся?».

Я начал тред с вопроса „как в этих поделках наркоманов

Ну и претензионный стиль намекает на твоё отношение.

Завтра эти авторы rm -rf твоему хомяку сделают и скажут что так и надо, а ты будешь рассказывать что всё ок, кто несогласен — ССЗБ.

Вижу в тебе недостаток чувства меры. Ты бьёшься по крайностям, и судя по всему, тебе от этого больно. Но биться ты не перестаёшь.

Я не пытаюсь доказать, что поведение какой-то версии идеально, а поведение других — нет. Не пойму, зачем ты пытаешься приписать это мне. Судя по всему, это твоя точка зрения. Вот и выражай её от своего имени. Я тебе всё пытаюсь объяснить, что тебе предоставляют возможность использовать софт, который ты либо используешь, либо нет. Почему-то бесплатная доступность софта создаёт у пользователей ощущение, что их мнение важно, что разработчики софта им обязаны. Лично им вот обязаны. Очевидно, это не так.

К счастью, многие браузеры поставляются с исходниками, и их можно допиливать под свои нужды.

Там, где написал «спервадобейся?».

В упор не вижу, вижу лишь твои рассуждения на тему кто имеет право на рассуждения.

Ну и претензионный стиль намекает на твоё отношение.

А какое у меня может быть отношение если браузер не даёт мне смотреть нужные мне сайты? Т.е. по сути он ограничивает мои возможности и не выполняет свою задачу.

Вижу в тебе недостаток чувства меры. Ты бьёшься по крайностям, и судя по всему, тебе от этого больно. Но биться ты не перестаёшь.

Хз кому там больно, мне норм. А крайности — это про отношение браузероделов к абсолютно всем своим пользователям как к умственно отсталым и принятие на основе этого соответствующих решений.

Ну тогда у тебя нет моральных прав рассуждать
Судя по всему, это твоя точка зрения. Вот и выражай её от своего имени.

Так это, есть ли у меня право рассуждать и выражать свою точку зрения или я таки аморальная скотина?

Я тебе всё пытаюсь объяснить, что тебе предоставляют возможность использовать софт, который ты либо используешь, либо нет. Почему-то бесплатная доступность софта создаёт у пользователей ощущение, что их мнение важно, что разработчики софта им обязаны.

Где я написал что они мне чем-то обязаны? Я лишь писал что им ничто не мешает запилить опцию для продвинутых пользователей в настройках. И это факт, который ты никак не оспоришь.

бесплатная доступность софта

А кому можно дать денег на нормальный браузер, с которого можно будет безболезненно смотреть интернеты хотя бы лет пять?

К счастью, многие браузеры поставляются с исходниками, и их можно допиливать под свои нужды.

Тем не менее современный браузер — классический пример софта, неподъёмного для одиночки, примерно как ОС общего назначения с нуля. Учитывая склонность нынешних браузеров к частым апдейтам и ломающим революциям с подачи хипсторов (привет, жирнолис) поддерживать такое — удовольствие из сомнительных.

но мне лень

Ну тогда у тебя нет моральных прав рассуждать

Про мораль лучше аддонописателям под мозиллку расскажи.

Так это, есть ли у меня право рассуждать и выражать свою точку зрения или я таки аморальная скотина?

Ты из фразы «Ну тогда у тебя нет моральных прав рассуждать, мешает там кому что-то «запилить галочку» или нет» взял только первую часть, превратив её в «Ну тогда у тебя нет моральных прав рассуждать». Таким образом ты переврал суть высказывания, оно стало о рассуждениях вообще.

Ты из фразы «Ну тогда у тебя нет моральных прав рассуждать, мешает там кому что-то «запилить галочку» или нет» взял только первую часть

Так что мешает-то? Религия не позволяет или что?

нет моральных прав

Практика показывает что если ЦА какой-либо софтины многие годы были гики и продвинутые пользователи, а потом курс резко сменился на хомячков — ведёрко помоев неизбежно прилетит вне зависимости от того считает ли кто-то что у кого-то есть моральные права на осуждение таких перемен или нет.

<...> если ЦА какой-либо софтины многие годы были гики и продвинутые пользователи, а потом курс резко сменился на хомячков — ведёрко помоев неизбежно прилетит <...>

Ведёрко помоев прилетает не от гиков и продвинутых пользователей, а от генераторов помоев. А им вообще без разницы, куда лить помои. Был бы повод. Это такой тип людей, они ничего с собой поделать не могут.

Один вот такой пришёл со своим ведёрком, и тему на LOR'е создал. Хотя, казалось бы, какой смысл тут-то? А смысла нет. Просто ведёрко переполнилось, и его нужно куда-то вылить.

Один вот такой пришёл со своим ведёрком, и тему на LOR'е создал. Хотя, казалось бы, какой смысл тут-то?

Смысл в том чтобы с браузера попасть на сайт, ибо решения этой проблемы, как оказалось впоследствии, контринтуитивны. Это было сформулировано ещё во втором предложении стартового поста. Но чукча не читатель, ему всюду ведёрка мерещатся. Наверное неспроста, на воре же и шапка горит.

Смысл в том чтобы с браузера попасть на сайт

И поэтому ты общаешься в таком тоне? Ну-ну.

всюду ведёрка мерещатся

А это что: https://www.linux.org.ru/forum/talks/14718704?

Наверное неспроста, на воре же и шапка горит.

Проекция — один из способов психологической защиты.

И поэтому ты общаешься в таком тоне? Ну-ну.

А что не так? Вполне адекватная реакция вменяемого человека когда какой-либо говнософт пытается казаться умнее него и решать куда ему ходить и куда не ходить.

А это что

Попытка решить проблему попутно с выливанием помоев на идиотов, создавших эту проблему на пустом месте. Возможно не совсем удачная, да.

Проекция — один из способов психологической защиты.

Тогда не проецируй.

Подчеркну ещё раз: говноделы, выпилившие возможность добавления временного исключения — идиоты. Обоснование я уже привёл выше по треду.

Вполне адекватная реакция вменяемого человека

Нет, это не адекватная реакция.

Попытка решить проблему

Нет там попыток.

Проекция — один из способов психологической защиты.

Тогда не проецируй.

Ну ты понял, да? :-D

бесплатная доступность софта

Вот по поводу бесплатности весьма спорно. Если к луне это ещё применимо, то к жирнолису с хромогом — уже нет. За „бесплатность” этих поделок пользователь платит принудительной телеметрией, зондами, впихиванием рекламы во все щели и прочими радостями, по сути становясь товаром. За это можно ещё один ушат помоев вылить.

Нет, это не адекватная реакция.

Обоснуй.

Нет там попыток.

Есть, в первом же предложении.

Так старался казаться адекватным, но всё равно скатился к желчи.

Признайся уж, хотел флейма, а получилось унылое обсуждение?

Так старался казаться адекватным, но всё равно скатился к желчи.

Никакой желчи, лишь констатация факта. У них там скомпрометированные CA годами висят в доверенных, пофиг. Главное чтобы сертификат на пару дней не просрочился, а то ведь несекурно.

Признайся уж, хотел флейма, а получилось унылое обсуждение?

Нет на оба утверждения.